2023年の個人情報漏洩は13万9874人

2024年6月、KADOKAWAグループを標的としたサイバー攻撃により角川ドワンゴ学園のN中等部、N高等学校、S高等学校で個人情報の漏洩が発生し、学校の情報セキュリティに対する関心が高まっている。

では、学校で個人情報漏洩事故は、どのような形でどれだけ発生しているのだろうか。教育機関のIT推進を事業とするJMCが運営事務局を務める、教育ネットワーク情報セキュリティ推進委員会(ISEN)では毎年、「学校・教育機関における個人情報漏洩事故の発生状況」調査報告書を発表している。

これは学校や自治体が発表、公開した個人情報漏洩事故をISENが集計したもので、2005年から集計が行われている。ただし、あくまで発表分を集計した調査なので、学校の情報漏洩事故すべてを網羅しているわけではない点に留意する必要がある。

さて、最新版の2023年度調査報告書によると、個人情報漏洩事故発生件数は218件で、漏洩人数は13万9874人であった。

学校で圧倒的に多い「書類」による事故発生

ISEN副委員長の井上義裕氏はこう語る。

「近年は毎年、200件前後の個人情報漏洩事故が発生しています。これが最も特筆すべき点で、これまでにさんざん注意喚起されているので普通なら減っていきそうなものですが、学校ではなかなか減りません。漏洩人数に関しては、各年でサーバーなど漏洩した媒体によって大きく変動します。

学校の特徴がよく表れているのが漏洩経路・媒体別事故発生比率で、最も多いのが『書類』の47.7%、次いで『インターネットサービス・アプリ』20.8%。文部科学省が中心となって校務DXが進められていますが、いまだに漏洩媒体の半分近くが紙なのです。したがって、基本的に紙をなくしてデータでやり取りするよう、学校の仕事のやり方を見直す必要があると思います」

紙の書類でやり取りをしているために、書類の山に重要な書類が埋もれて紛失したり、うっかり捨てたり、あるいは誤配布したりといった事故が発生しやすい状況があるわけだ。

実際、事故の種類別発生比率を見ても、「紛失・置き忘れ」が最も多く48.6%。次いで「誤公開」16.8%、「誤送信」15.4%の順番で、上位3つで全体の約80%を占めている。

一方、月別の事故発生件数を見ると、2023年度は7月、11月、12月が最多で26件、次いで4月の22件となっている。つまり、年度初めと学期末の時期に事故が増えている。過去13年間の平均値を見ても、やはり年度初めの4月と学期末の7月が最も多く、次いで年度末の3月となっている。

注:過去13年間の月別事故発生件数平均値

要するに、先生たちが忙しい時期に事故が起こっており、これも学校ならではの特徴だ。「セキュリティ事故の大半はヒューマンエラー」(井上氏)というのがよくわかる。

情報漏洩対策は情報資産の把握・分類から

情報漏洩媒体のおよそ半分が書類で、事故の種類は約半分が紛失・置き忘れというヒューマンエラー。その背景に先生たちの忙しさがあるとなれば、学校における情報セキュリティはデジタル化、DX化による紙減らしや業務の効率化が重要になると考えられるが、実際にはなかなか進んでいない。その原因はどこにあるのか。

「電子データを含む情報資産は、それぞれ『これは管理職しか見られないようにする』『これはカギをかけて保管する』といった分類を規定しなければ、きちんとしたセキュリティ対策は立てられません。しかし、日本教育情報化振興会の『第14回 教育用コンピュータ等に関するアンケート調査』報告書によると、文科省のセキュリティガイドラインに準じた情報資産の分類を行うよう規定し、各学校で分類が完了しているところは24.8%にとどまる一方、規定していないとの回答は43.5%あり、とくに自治体規模の小さな町・村で遅れが目立っています。

そもそも情報漏洩のセキュリティ対策をするには、まず使用している帳票を洗い出すことから始めなければいけませんが、自校がどれだけの帳票を持っているかを明確に把握している学校はそれほど多くないと思います。情報を守るためには、どんな情報がどこにあるのかを把握するところから始める必要があります」(井上氏)

また、この「教育用コンピュータ等に関するアンケート調査」では、セキュリティ事故に備え教育委員会事務局内に統一的な窓口を設置し、報告ルールや対応手続きを定めているかを問う質問もあるが、定めているのは全体の39.1%にとどまる。つまり、事故発生時の体制もあまり整備されていないのが学校の現状で、こうした体制づくりもセキュリティの改善には重要になるだろう。

一方、デジタル化を進めるとサイバー攻撃やランサムウェア被害等、サイバーセキュリティは大丈夫かという懸念も生じる。確かにそうした事故を100%防げるかといえば難しく、一カ所に大量のデータを置いておけば事故が発生した際の被害も大きくなる。

しかし、デジタル化のメリット、デメリットを勘案すれば推進しない判断はあり得ない。デジタル化のメリットは利便性や業務効率の向上だけではなく、AI活用に見られるように蓄積したデータから有用な情報や知識が生み出されるようになっているからで、セキュリティは専門家の手を借りながら対策を行っていくことになろう。

「セキュリティはどれだけ費用をかけて、ガードレベルをどれだけ強くするかの問題が大きく、しっかりしたクラウドサービスを活用して管理を行い、二要素認証の導入など基本的な対策を徹底すれば、事故の危険性は大きく下げられます。何より、現状のセキュリティレベルよりはずっと改善されるでしょう。

今、紙でやり取りしているものはデジタル化を進め、従来なら自前のサーバーに置いて管理していたものはクラウドサービスに切り替える。システムのセキュリティはクラウド業者に一定の担保をしてもらい、個々の端末にはデータを一切置かない環境を作っていくことが、情報セキュリティの方向性として望ましいと思います」

(文:宮内健、注記のない写真:jat306 / PIXTA)